随着远程办公、跨地域数据传输和隐私保护需求的日益增长,越来越多的个人用户和企业选择在虚拟私有服务器(VPS)上部署自己的VPN服务,相比第三方商用VPN服务商,自建VPN不仅成本更低,而且能完全掌控数据流向与安全性,本文将详细介绍如何在Linux系统(以Ubuntu为例)的VPS上配置OpenVPN或WireGuard这两种主流开源协议,帮助你快速搭建一个稳定、安全、可扩展的私人网络通道。
第一步:准备环境
确保你的VPS已经安装并运行了Ubuntu 20.04或更高版本,并且已通过SSH连接到服务器,建议使用root账户或具有sudo权限的用户执行后续操作,在开始前,请确认VPS拥有公网IP地址,并开放必要的端口(如OpenVPN默认UDP 1194端口,WireGuard默认UDP 51820)。
第二步:选择协议——OpenVPN vs WireGuard
- OpenVPN 是成熟稳定的协议,兼容性好,支持多种加密算法,适合对稳定性要求高的场景。
- WireGuard 是新一代轻量级协议,性能高、代码简洁、延迟低,特别适合移动设备或高并发场景。
如果你是新手,推荐先从OpenVPN入手;若追求极致性能和未来扩展性,WireGuard是更优选择。
第三步:以OpenVPN为例进行配置
-
安装OpenVPN及相关工具:
sudo apt update && sudo apt install openvpn easy-rsa -y
-
初始化PKI证书系统:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo cp vars.example vars
编辑vars文件,设置国家、组织名等基本信息。
-
生成CA证书、服务器证书和客户端证书:
sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
-
配置OpenVPN服务器:
创建/etc/openvpn/server.conf文件,内容示例:port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/pki/ca.crt cert /etc/openvpn/easy-rsa/pki/issued/server.crt key /etc/openvpn/easy-rsa/pki/private/server.key dh /etc/openvpn/easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun status /var/log/openvpn-status.log verb 3 -
启动服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
第四步:客户端配置与连接
将生成的客户端证书(client1.crt、client1.key、ca.crt)打包成.ovpn配置文件,使用OpenVPN客户端导入即可连接。
第五步:优化与安全加固
- 使用fail2ban防止暴力破解
- 启用防火墙规则(ufw)限制访问源IP
- 定期更新证书和密钥
- 考虑启用多因素认证(MFA)
通过以上步骤,你就可以在VPS上成功部署一个属于自己的私有VPN服务,实现加密通信、绕过地域限制、提升远程工作效率,合法合规使用是前提,切勿用于非法用途,掌握这项技能,意味着你真正拥有了互联网上的“数字护照”。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
